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PROCEDE CRVPTPgRAPHIQUE PROTE &E CQNTRE LES 
ATTAQUES DE TYPE A CANAL CACHE 

Ij' invention concerne von. proc^d^ cryptographique 
prot6g6 centre les attaques de type k canal cach6. 
Ij* invention est notamment int^ressante pour prot^ger des 
algorithmes au coxirs duquel on execute un bloc 
d* instructions paritii pliosieurs bloc d' instructions 
differents en fonction d'xme variable d' entree. Un tel 
algorithme est par exemple, mais non limitativement, un 
algori thine binaire d' exponentiation, realisant un calcul 
de type Y = X°, X, Y et D etant des noitOores entiers. Un 
tel algorithme est par exemple mis en oeuvre dans des 
dispositifs electroniques tels que des cartes h puce, 

Le diagrainme de principe d'tin tel algori t^e est 
repr^sente sur la figure 1. II comprend line i|remi^re 
etape de test de la valeur d'lone donnee d' entree. En 
fonction du resultat du test, on realise ensuite ion bloc 
d' instructions Uo ou \in bloc d' instructio^ TIi, 
li' algorithme pent ensuite se terminer, ou ^® 
nouyelle 6tape de test est r^alis^e sur un^: autre 
variable d' entree. Les blocs d' instructions rio, rii 
coraprennent chacun un ensemble d' instructions a executer. 
Le nombre et /ou le type des instructions peuvent etre 
differents d'un bloc d' instructions Ilor Hi a 1' autre. 

De nombreux algorithmes cryptographiques sont bas^s 
sur le diagramme de principe de la figure 1. G'est 
notamment le cas des algorithmes cryptographiques bases 
sur des calculs d' exponentiation du type Y = X^, oii X, Y 
sont des nombres entiers le plus souvent de grande 
taille, et D un nombre predetermine. 

Les nombres X, Y peuvent correspondre par exemple k 
un texte chiffre ou a chiffrer, une donnee signee ou h 
signer, une donnee verifiee ou a verifier, etc. Le nombre 
D peut correspondre k des elements de cies, privees ou 
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publiques utilisees pour le chiffrage ou le dechiffrage 
des norabres X, Y. 

A titre d'exeraple des algorithmes tels que 
1 'algorithme dit " Square -And-Multiply" , 1 'algorithme dit 
5 "Right-To-Left binary algorithm", 1 ' algorithme dit " (M, 
M^) algorithm" peuvent et rg? nr-il-i«^.Q pnnr- T-^^iijrjor dog 
calculs d' exponentiation. 

Un utilisateur malveillant peut eventuellement 
10 engager des attaqiies, visant a decouvrir notamment des 
informations conf identielles (comme par exemple la cl6 D 
ou une donn^e d^rivee de cette cl^) contenues et 
manipul^es dans des traitements effectues par le 
dispositif de calcul executant une operation 
15 d • exponentiation . 

Une attaque simple, dite "timing attack", contre 
1 » algorithme de la figure 1 consiste a mesurer le temps 
necessaire au dispositif pour ex6cuter un bloc 
d' instructions entre deuoc etapes de test. Si les temps 
20 d' execution des blocs d' instructions Uo, rii sont 
differents, alors il est facile d' identifier un bloc 
d' instructions IIo ou Tlx et d'en deduire la valeur de la 
variable d' entree associee. 

Pour se pr^unir contre cette attaque, il est 
25 possible d'ajouter des instructions fictives dans le bloc 
d' instructions ITo ou Tlx le plus court (dans le sens o\i le 
temps mis pour le realiser est le plus petit) de sorte a 
ce que les deux blocs d' instructions Ilo, 111 soient de 
meme duree. 

30 Une instruction est dite fictive si son execution 

ne modifie pas les donn^es manipulees par 1 • algorithme. 
Par exeirqple, 1 ' instruction i <- i - 0 est vine instruction 
fictive. 

Si cette solution est efficace contre les "timing 
35 attacks", elle n'est pas efficace contre d'autres types 
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d'attaques a canal cache et elle peut egalement penaliser 
les temps d' execution de 1' algorithme- 

Les attaques a canaxax caches les plus coimues sont 
dites simples ou dif f 6reatielles . On entend par attaque k . 
canal cache une attaque basee sur une grandeur physique 
mesurable de I'ext^rieur du dispositif, et dont 1' analyse 
directe (attaque simple) ou 1' analyse selon une methode 
statistique (attaque dif f ^rentielle) permet de d^couvrir 
des informations contenues et manipul^es dans des 
traitements realises dans le dispositif- Par exemple, 
dans une "timing attack", le canal cache (la grandeur 
physique mesurable depuis I'exterieur) est le temps. 

Les attaques a canal cache peuvent permet tre de 
decouvrir des informations conf identielles . Ces attaques 
ont notamment ete devoilees par Paul Kocher (Advances *,in 
Cryptology - CRYPTO»99, vol. 1666 of Lecture Notes ,in 
•Computer Science, pp. 388-397 • Springer-Verlag, 1999). 

Parmi les grandeurs physiques qui peuvent et^e 
exploitees h ces fins, on peut citer le terras 
d' execution, la consommation en coxirant, le champ 
electromagnetique rayonne par la partie du composa©t 
utilisde pour ex^cuter le calcul, etc. Ces attaques sont 
bashes sur le fait que, au cours de 1* execution d'un 
algorithme, la manipulation d'un bit, c'est a dire son 
traitement par une instruction particuliere, laisse une 
empreinte particuliere sur la grandeur physique 
consid^ree, selon la valeur de ce bit et / ou selon 
1 ' instruction- 

Les attaques a canaux caches peuvent aboutir sur 
des algorithmes tels que celui de la figure 1 si les 
blocs d' instructions IIo, 111 ne sont pas equivalents . vis- 
a-vis de ces attaques. 

Le terme "equivalent" doit etre compris ici et dans 
tout ce qui suit de la mani^re suivante. Deux 
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instructions INSTi, INST2 (ou deux blocs instructions 
Ho/ 111) sont dits equivalentes {note INSTo - INSTi) s ' il 
n'est pas possible de les differencier par une attaque a 
canal cache. C'est le cas notamment si la grandeur 
5 physique mesuree au coirtrs de 1' attaque suit la meme 

evolution pour les deux inat-mrt-i otir . S—nofc er toutofois 

que deux instructions peuvent etre equivalentes vis-^-vis 
d'une attaque a canal cach^ et ne pas etire equivalentes 
yis-a-vis d'une autre attaque ^ canal cach4- 

10 Dans le meme esprit , on dira que deux instructions 

(ou blocs d' instructions) sont egales si lorsqu'elles 
sont utilisees avec les mdmes donn^es d* entree, elles 
produisent des donnees de sortie identiques. 

15 II est connu de se premunir centre les attaques a 

canaux caches en ajoutant des instructions fictives a 
1 'algorithme. On supposera dans ce qui suit qu'une 
instruction fictive est equivalente a une instruction 
reelle similaire. Par exemple 1 » instruction i<-i-0 est 

20 supposee equivalente a 1 * instruction i<-i-l. 

Dans le cas de I'algorithme de la figure 1, il est 
ainsi connu de realiser un bloc d' instructions IIi fictif 
apr^s chaque bloc d' instructions Hq, et de realiser de 
maniere sym^trique un bloc d' instructions Ilo fictif avant 

25 chaque bloc d' instructions 111 (voir les etapes en 
pointilles sur la figure 1) • Ainsi, quelle que soit la 
valeur de la donnee d' entree, on r^alisera un bloc 
d' instructions Uq et im bloc d' instructions Hxr dams 
I'ordre, I'un ou 1' autre etant fictif, de sorte qu'il ne 

30 soit pas possible de predire la valeur de la donnee 
d' entree, les grandeurs physiques relatives a un calcul 
etant Equivalentes. On note ainsi : 

(Ilo II ni(fictif)) (riotfictif) II 111) 

35 Si cette solution est efficace centre les attaques 

a canaux caches, elle presente cependant 1 ' inconvenient 
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de multiplier en moyenne par dexix le tentps d' execution de 
1 'algorithme. 

En effet, dans le cas d'un algorithme non protege 
utilisant M donnees d' entree, on realise statistiquement 

5 en moyenne M/2 bloc d* instructions Ilo et M/2 bloc 
d' instructions 111. Si TO, respectivement Tl sont les 
temps moyens d' execution d'un bloc, d' instructions Ho, 
respectivement ELi, alors le temps moyen d' execution de 
1- algorithme non proteg^ est 6gal It M* (TO + Tl) / 2. 

10 Par centre, dans le cas de 1' algorithme protege par 

des blocs d* instructions Ilo, IIi fictifs, on realise 
syst^matiquement un bloc d' instructions JJq et un bloc 
d' instructions 111 pour chacune des M donnees d' entree. En 
consequence, le temps moyen d* execution de 1' algorithme 

15 protege par des blocs d' instructions fictifs est egal 4 
M* (TO + Tl) • vi 

Un but de 1 ' invention est de proposer un algorithm^ 
cryptographique securise centre les attaques h canau:^. 
20 caches et plus rapide que les algorithmes proteges 
existants. 

Ce but est atteint par un precede de calcuj^ 
cryptographique selon 1' invention, caract^rise en ce que, 
poxir exdcuter un bloc d' instructions choisi (Tlj) en 

25 fonction d*une variable d' entree (Di) parmi N blocs 
d' instructions pr^definis (Oi, Hn) , on execute un 

nombre pr6d6fini (Lj) de fois un bloc elementaire commun 
(r(k,s)) aux N blocs d' instructions predefinis {Tlx] 
IIn) , le nombre preddfini (Iij) etant associe au bloc 

30 d' instructions choisi (Ilj) • 

Ainsi, avec 1 * invention on realise un seul bloc 
el^entaire, le bloc elementaire commun, \in nombre 
predefini de fois, selon la variable d* entree. II n'est 
alors pas possible de determiner par \ine attaque ci canal . 

35 cache quel bloc d» instructions est ex6cut6. 
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Le nombre predefini (Lj) est variable d'\m bloc 
d' ins tiruct ions predefini (EEi, On) k I'autre. 

Le bloc elementaire coiraniin (r(k,s)) comprend de 
pr^fdrence au mo ins line instruction de calcul equivalente 
5 vis-li-vis d'line attaque k canal cache a une instruction 

de calcul de chague bloc pred efini (TT^ , n^i ) - 

Le bloc elementaire comHtun (r(k,s)) peut egalement 
comprendre xme instruction de iaise k joxir d'un point eur 
de boucle (k) indiquant un nombre d* executions deja 
10 executees du bloc ^l&nentaire commun (r(k,s)). 

Si n^cessaire, le bloc elementaire commun (r(k, s)) 
peut comprendre en complement xine instruction de mise a 
jour d'un pointeur d'etat (s) indiquant si le nombre 
predefini (Lj) a ete atteint. 
15 La valeur du pointeur de boucle (k) et / ou la 

valeur du pointeur d'etat (s) sont fonction de la valeur 
de la variable d' entree (Di) et / ou du noitibre 
d' instructions du bloc d' instructions (Pj) associe a la 
valeur de donn^e d ' entree , 
20 De preference, si plusieurs blocs ^lementaires sont 

possibles, le bloc elementaire commun est choisi minimal, 
en ce sens qu'il comprend un nombre d' instructions 
minimal et / ou qu'il s'effectue en un temps minimal, 

25 Selon un autre mode de realisation, pour r^aliser 

successivement plusieurs blocs d' instructions choisis 
parmi les N blocs d' instructions pr^definis (FTi, n^) 
en fonction d'une variable d" entree (Dj) associee a un 
indice d' entree (i) , 

30 on execute un nombre total {Lr) de fois le bloc 

el^entaire commun (r(k,s))^ le nombre total (Lr) etant 
6gal a une somme des nombres predefinis (Lj) associes a 
chaque bloc d' instructions choisi (ITi) . 

La encore, on execute seulement le bloc elementaire 

35 commun, quel que soient les blocs d' instructions a 
executer, de sorte qu'il n'est pas possible de predire a 
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quel bloc d' instructions est associe le bloc elementaire 
commun en cours d' execution, Une attaque k canal cache ne 
peut done pas aboutir. 

A noter qu'un mSme bloc d' instructions peut etre 
choisi plusieurs fois selon la variable d' entree associee 
a I'indice d' entree (i) . 

L' invention concerne egalement un precede 
d • obtention d ' un bloc elementaire commun (F {k, s ) ) a N 
blocs d* instructions (Hi, Ihx) pr^definis. Ledit 

precede est susceptible d'etre utilise pour la mise en 
oeuvre d'un proc6d6 de calcul cryptographique s^curise tel 
que celui d^crit ci-dessus- 

Selon 1' invention, on obtient un bloc elementaire 
commiin en real is ant les etapes suivantes : 

El : decomposition de chaque bloc d' instruction^ 
predefini (Hi, Hn) en une suite de blocs elementairep 

•(Y) Equivalents vis-^-rvis d'line attaque a canal cache, 
classement de 1' ensemble des blocs elementaires, 

E2 : recherche d'xan bloc El^entaire commuaa 
(r(k,s)) equivalents a tous les blocs elementaires iy) dp 
tous les blocs d' instructions prdd^finis. Le blag 
Elementaire commun recherchE comprend au moins un bloc 
Elementaire precEdemment obtenu lors de I'Etape El et une 
instruction de mise k jour d'un pointeur de boucle (k) 
tel que une exEcution du bloc ElEmentaire commun associee 
h la valeur du pointeur de boucle (k) et une execution du 
bloc ElEmentaire de rang Egal k la valeur du pointeur de 
boucle (k) soient identiques. 

Si nEcessaire, au cours de I'Etape El, une ou des 
instructions fictives peuvent etre ajoutee a la serie des 
instructions d'un ou plusieurs blocs d ' instructions : 
ceci peut faciliter composition de chaque blocs 
d' instructions en des blocs elementaires tous Equivalents 
vis-a-vis d'xine attaque ^ canal cache- 
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Au cours de I'^tape El, on d^coupe chaque bloc 
d' instructions predefinis IIi a n« en blocs eldmentaires 
equivalents vis-a-vis d'une attaque donnee ; les blocs 
elementaires sont classes . Par exemple : 

Di = 71 I I 72 I I -^^ n2 = Y4 1 I 75, 
Plus g^eralfsment , nhaq ii e b loc d' instructions rij, 
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JJtf se decompose ainsi 



avec 



ni = Y(Ci) II .„ 11 Y(Cx+l.i -1) , 
na. = 7(C2) i I 11 7(C2+L2-1) , 



Ci 

C2 



Y(cm) I 
0 



II 7{Cj+Lj-l>, 
I I 7(c»+Ln-1) 



20 



25 



30 



ou Lj 
necessaires 



de blocs elementaires 
coirrpletement le bloc 
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Cn = Li+ Ln-i 

est le nombre 
pour decomposer 
predefini d' instructions Ilj . 

Au cours de 1 • dtape E2, on recherche un bloc 
61ementaire commun T tel que chaque bloc d» instructions 
rij (1 < j ^ N) peut etre e3<prime sous forme d'une 
repetition Lj fois du bloc dl^entaire commun T. 

De preference, le bloc commun est choisi minimal, 
ayant un nombre d* instructions le plus petit possible et 
/ ou s ' ef f ectuant en xin temps minimal . 

Le bloc eiementaire coiranun peut comprendre : 

- un ou plusieurs blocs 6l6mentaires obtenus lors 
de I'etape El, et 

- xxne instruction de mise a jour d'un pointeur de 
boucle (k) tel que xine execution du bloc elementaire 
commun associee a la valeur du pointeur de boucle (k) et 



let ufi^pui 
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line execution du bloc elementaire de rang egal a la 
valeur du pointeiir de boucle (k) soient identiques . 

Si necessaire, \in pointeur d'etat peut egalement 
etre utilise en coit^lement du pointeur de boucle : 

- le pointeur d'etat s indique si le bloc 
elementaire commun a ete ex6cut6 vxi nombre predefini de 
fois correspondant au nombre de blocs 616mentaires 
decomposant un bloc d' instructions donndes ; dans un 
exemple, le pointeur d'etat s est 6gal a.l lorsque le 
nombre predefini de blocs 61^entaires a ete execute, et 
il est 6gal k 0 sinon. 

- le pointeur de boucle indique le rang du bloc 
elementaire k ex6cuter parmi 1' ensemble des blocs 
elementaires • De maniere tres gendrale, le pointeur de 
boucle peut etre def ini selon la relation suivante : 

k <- (/s),(k+l) + s.f(Di) 

ou Di est la variable d' entree permettant de 
•selectionner un bloc d' instructions a executer, s le 
pointeur d'etat et f une fonction logique de la variable 
d • entree Di . f 

ou f(Di) est une fonction logique de la variabl.e 
d' entree Di associ^e a un bloc d' instructions predefini 
a executerr et /s est le complement du pointeur s 
(fonction NON logique) • 

La relation ci-dessus donnant la valeur de k est 
obtenue par le raisonnement suivant* 

Lorsqu'on realise un bloc d' instructions Ilj, le 
pointeur de boucle k doit etre incremente de 1 a chaque 
execution du bloc 61^entaire comm\m (associ6e a un bloc 
6l^entaire Equivalent de la decomposition du bloc rij) 
tant que s = 0, c'est-^-dire tant que le nombre de blocs 
elementaires associes au bloc Ilj n'a pas ete atteint. 
Ceci se traduit par la relation : 

k <~ (k+l) lorsque s = 0 

Inversement, lorsqu'on realise le bloc elementaire 
coiranun associe au dernier bloc elementaire du bloc Uj 




(c«est-^-dire lorsque s = 1), il est necessaire 
d'incrementer k de sorte a realiser le bloc elementaire 
coimnun associe au premier bloc Elementaire du bloc 
d' instructions suivant Ilj.. Ceci se traduit par la 
5 relation suivante : 

k <- fCDj) 1or.srp?p s ^ 1 

oil Di est la variable d* entree qui conditionne le 
choix du calcul Ilj. a realiser • 

En combinant les deux demi^res relations , on 
10 obtient finalement : 

k <- (/s) . (k+l) + s.f(Di), pour tout s. 

L' invention et les avantages qui en decoulent 
apparaitront plus clairement a la lecture de la 
description qui suit d'exemples de mise en oeuvre d'un 
procede cryptographique securis6 selon 1 ' invention . La 
description est a lire en reference aux dessins annexes 
dans lesquels : 

la figure 1 est un diagramme generique de 
precedes connus et susceptibles d'etre proteges selon 
1 ' invention, 

- la figure 2 est un diagramme du procede generique 
de la figure 1 protegE selon 1' invention, 

- les figures 3 et 4 detaillent la realisation de 
certaines e tapes du proc^d^ de la figure 2 dans le cas de 
precedes d' exponentiation connus* 

Dans les exemples qui suivent, on va d^crire 
notamment I'obtention d'xin bloc 616naentaire commun selon 
1' invention et 1 'utilisation de ce bloc elementaire, dans 
les cas pratiques de trois precedes de calcul 
cryptographique . 
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Dans un premier exemple pratique, on considere un 
algorithme d ' exponentiation de type "Sqpaare-and-Multiply" 
(qu'on appellera par la suite algorithme 1 par souci de 
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sin^lif ication) . L • algorithme 1 perinet de realiser une 
operation d* exponentiation de type Y = X^^ oil D = (Dm-i» 
Do) est \in nombre de M bits. Get algorithme peut etre 
represente comme suit : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1 
Tant que i > 0, r^p^ter : 

Si Di = 1, alors realiser Ilo : 
Ro<- Ro-Ro 
Ro<- Ro-Ri 
i <- i-1 
Si Di = 0, alors realiser Tlx : 
Ro<- Ro-Ro 

i <- i-1 % 
Retoumer Ro- -fi 
Algorithme "Square-and~Multiply" (algorithme l.k 

J- 

Dans 1* algorithme 1, les blocs d* instructions rio;^, JTli 
sont realises selon la valeur d'lJin bit de 1 ' expos ant j;-D, 
et on incremente xin indice de boucle i a la f in de cha^que 
bloc d' instructions TTo/ Tlx de sorte k trai;:er 
successivement tous les bits de D. 

Dans 1« algorithme 1, les bloc d' instructions rio, rii 
ne sont pas Equivalents vis-^-vis d'une attaque a canal 
cache, notamment parce ce que le nombre d' instructions de 
Ilo est different du nombre d* instructions de rii. 

Pour proteger 1* algorithme 1 selon 1 ' invention, on 
recherche un bloc Elementaire commxin susceptible d'etre 
utilise pour 1' execution des blocs no, TIi. 

Pour cela, on decompose tout d'abord chaque bloc 
d' instructions Uo, Hi en une suite de blocs elementaires , 
tous equivalents entre eux vis-a-vis d»une attaque 
donnee • 

lie bloc d' instructions rio peut s'Ecrire : 




Ro<- Ro-Ro 
i i~0 
Rq<- Ro.Ri 
i <~ i~l 

5 L' instruction i <- i-0 est fictive : elle ne 

laodifie aucrune variable ^ anrrnrifa donn^e — iaanipul4^ — pa^^ — 

I'algorithme !• 

Ho peut alors se decomposer en deux blocs 
616mentaires : Ilo = 7O | | 7I avec 
10 7O :Ro<- Ro-Ro 

i <- i-0 
yl :Ro<- Ro-Ri 
i <- i-1 

111 se compose en de la mdme fagon en un bloc 
15 el^mentaire : 

Ilx = 72 avec 

72 : Ro <- Rq • Rq 

i <- i-1 

On note que les blocs yO, yl, y2 sont tous 
20 equivalents (yO - yl - y2) si on suppose que les 
instructions Rq <- Rq-Ro et Ro <- Rq-Ri sont equivalentes et 
que les instructions i <- i-0 et i <- i-1 sont 
Equivalentes . 

On a ainsi decompose chaque bloc d' instructions Ilo, 
25 Til en un nonibre variable (d'\in bloc d' instructions a 
1' autre) de blocs el^mentaires , tous equivalents les uns 
aux autres . 

On d^finit ensuite xm pointeur d'etat s et un 
pointeur de rang k. Lorsqu'un bloc d' instructions n est 
30 en cours d' execution : 

k est utilise pour indiquer quel bloc 
el^entaire yk doit etre realise ; la valeur de k depend 
notamment du bloc 11 en cours d' execution (et done de la 
variable d' entree testee) 
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- s est utilise pour indiquer si au mo ins un 
bloc Yk doit etre encore etre realise ou si le bloc 7 en 
cours est le dernier du bloc TL. 

Dans le cas de I'exeirrple ci-dessus relatif a 
5 1 'algorithme 1, on pent resumer 1' evolution des pointeurs 
k, s par le tableau ci-dessoiis. 





k 


s 


(Di = 


1) 


yO 


: Ro <- 


Ro.Ro ; 


• 

X 


<- i-0 


0 


0 






71 


: Ro <- 


Rq.Ri ; 


i 


<- i-1 


1 


1 


(Di = 


0) 


72 


: Ro <- 


Ro.Ro ; 




i <- i-1 


2 


1 



tableau 1 



10 s peut Stre calcule a partir de k : si le^ bloc 

elementaire 7k qui doit etre realise est le dernier* bloc 
el^entaire d'un bloc 11, alors s = 1, sinon s = 0. ^ 

Dans le cas de 1 'algoritbme 1, on peut par exemple 
calculer s par la relation suivante (div est la di;vision 

15 entiere) : 

s = (k mod 2) + (k div 2) : 
On retrouve les dif ferentes valeurs de s^is en 
fonction de k (cf tableau 1) . 

k peut ^tre calculi a partir de s et de Di, Di etant 
20 representatif du bloc 11 en cours : 

- si s = 0 (bloc n en cours de realisation) , 
k est incr^ent^ de 1 li chaque realisation d'un bloc 
eiementaire 7 , pour effectuer le bloc elementaire 7 
sui vant . 

25 - si s = 1, le bloc 11 en cours est terminee 

et le bloc elementaire suivant 7 ^ effectuer est le 
premier bloc du prochain bloc 11 a executer ; k depend 
done de Di- 

De ce qui precede, on en deduit que k peut etre 
30 obtenu par la relation suivante : 

k <- (/s).(k+l) + s.f(Di) 




14 



avec /s la valeur complement aire de s (fonction MON 
logique) , et f xine fonction logique de Di, qui depend de 
I'algorithme a proteger (voir aussi figure 3) . 

Dans le cas de I'algorithme 1, on peut par exemple 
5 choisir f(Di) = 2.{/Di) 

Ainsi, avec la relation—: 

k <- (/s).{k+l) +s.2,(/Di), 
on retrouve les differentes valeur s de k en 
fonction de s et de Di (cf tableau 1) . 
10 On d^finit finalem^it \in bloc elementaire commun 

r(k, s) , Equivalent axix blocs el^entaires yO, 7I, y2 et 
tel que r(0, 0) = yO, Fd, 1) = 7I et r{2, 1) = 72. 

Pour I'algorithme 1, on peut par exemple choisir : 
15 r(k^ s) : Ro <- Ro.Rkmod2 

i <- i - s 

En utilisant la fonction T, I'algorithme 1 peut 
finalement s'Ecrire (voir aussi figure 3) : 

20 Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1 
Tant que i > 0 : 

rdpeter le bloc elementaire commun r(k,s) : 
k <- (/s) . (k+1) + s,2. (/Di) 
25 s <- (k mod 2) + (k div 2) 

Ro <- Ro - Rk mod 2 

i <- i - s 
Retourner Ro- 

Algorithme 1 ( "Square -And-Multiply" ) proteg4 

30 

Dcuis cet algorithme, un seul bloc F est utilise, 
quelles que soient les valeurs de Di- Dans le cas ou 
Di = 0, on execute un seul bloc T. Dans le cas ou Di = 1, 
on execute success ivement deux fois le bloc F. 
35 Quelles que soient les valeurs des pointeurs k, s 

et quelle que soit la valeur de Di, le bloc F associe est 
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equivalent, vis-a-vis d'line attaque a canal cache, au 
bloc pr^cedeimnent execute et au bloc execute ensuite. En 
consequence il n'est pas possible de les distinguer, de 
savoir a quel bloc d' instructions IT correspond wci bloc T 
en cours . 

A noter cjue par r&pport a 1 • algorithme 1 non 
protege, 1 • algorithme 1 prot^g6 selon 1' invention utilise 
le mdme nombre d' instructions de calcul (telles que des 
instructions de multiplication par exemple) pour aboutir 
au mSme r^sultat final. algorithme 1 protege selon 
1' invention comprend simplement une etape suppl^entaire 
de mise a jour de pointeurs : une telle 6tape est 
beaucoup plus rapide et beaucoup moins cons omma trice de 
ressources qu'un bloc d' instructions de calcul.^ tel qu'un 
bloc destine a la realisation d'une multiplication. En 
consequence, le temps d' execution de 1* algorithme protege 
est le meme que celui de 1' algorithme 1 non,;^ protege : 
•Tex = 1.5*M*T0, TO etant le temps d* execution d'une 
mul t ipl i cat ion . 

A noter egalement que le bloc T n' est. -pas unique 
pour un m§me algorithme. 

D'autres decompositions du bloc d' instructions Ilo 
peuvent ^tre envisag6es, par exemple : 
Ho = Y' 0 II yl avec 

Y'O : Ro <- Ro-Ro 
i <- i-1 

Y'l : Ro <- Ro.Ri 
i <- i-0 

Cette decomposition est envisageable dans la mesure 
ou 1 • instruction fictive i <- i-0 peut etre executee a 
tout instant au cours du bloc Ilo- On constate des lors 
que les blocs ^lementaires Y'O y2 sont identiques . Le 
tableau 1 est alors modifi^ alors de la maniere suivante. 
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k 


s 


(Di = 


1) 


Y'O : 


Ro <- 


Ro.Ro ; 


i <- 


i-1 


0 


0 






y 1 : 


Ro <- 


Ro.Ri ; 


i <- 


i-0 


1 


1 


(Di = 


0) 


y 0 : 


. Ro <- 


Ro-Ro ; 


i <- 


i-1 


0 


1 



Le pointeur s deviant ici superflu dans la mesure 
ou seules deux blocs 6lementaires sont possibles y'O et 
Y'l. On obtient finalement le bloc ^l^entaire coininiin F* 
et 1 • algorithme protege suivcuit (voir aussi figure 4) : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1; k <- 1 
Tant que i > 0 : 

repeter le bloc elementaire cominun F* (k,s) : 
k <- (Di) ET (/k) 
Ro <- Ro-Rk 
i <- i « (/k) 
Retourner Rq. 

Algoritbme " Square~And-Multiply " protege 
(2^^ version) 

D'autres algorithmes peuvent egalement etre 
prot^g^s selon 1* invention, 

Ii'algorithme d' exponentiation dit "Right-To-Left 
binary algorithm" (appele par la suite algorithme 2) par 
exemple est assez similaire a 1 'algorithme "Sciuare-And 
Multiply" . II permet de r^aliser xine operation de type 
Y = X° en partant du bit le plus faible de D de la maniere 
suivante : 

Initialisation : 

Rq <- 1 ; Ri <- X ; i <- 0 
Tant que i < M-1, repeter : 

Si Di = 1, alors realiser le bloc Flo : 



17 

Ro <- Ro-Ri 
Ri <- Ri.Ri 
i <- i+1 

Si Di = 0, alors r^aliser le bloc Hi : 
Ri <- Ri.Ri 
i <- i+1 

Retoiamer Ro- 

Algorithme 2, dit "Riglit-To-Left binary algorithm" 

Les bloc Ilo, III peuvent par exemple se decomposer de 
la manifere suivante : 







s 


no 




1). 


yO 


: Ro 


<- 


Ro-Ri ; 


i <- 


i+0 


•X 0 


0 








Yl 


:Ri 


<- 


Ri.Ri ; 


i <- 


i+1 


;•• 1 


1 


Hi 


(Di = 


0) 


72 


:Ri 


<- 


Ri-Ri ; 


i <- 


i+1 


2 


1 



tableau 2 



Ici egalement, comme seuls deux blocs elementaires 
yO/ 71 sont utilises pour decomposer Flor 111, le pointeur s 
est done inutile. On peut par exemple choisir le bloc 
elementaire commun T suivant : 

r(k) : Rk <- Rk.Ri 

i <- i+k 

et mettre a jour le pointeur k avant chaque 
realisation du bloc r(k) selon 1 ' instruction k <- k © Di. 
On obtient finalement 1 • algor ithme 2 proteg^ ci-dessous, 
ou ® designe I'operateur OU-Exclusif : 

Initialisation : 

Ro <- 1 ; Ri <~ X ; i 0 ; k <- 1 
Tant que i < M-1 : 

rep^ter le bloc elementaire commun r{k,s) : 
k <- k © Di 




lei UtSfJUL 
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i <- i+k 
Retoiirner Ro* 

Algorithme "Right~To-Le£t binairy algorithm" 
(algorithiue 2) protege 



Les exemples ci-dessus decrivent des algorithmes au 
coxxrs desquels on execute deux blocs d' instructions Ho ou 
III en fonction d'xine variable d' entree Di, L' invention 
10 peut cependant s'appliquer k des algorithmes utilisant 
plus de deux blocs d' instructions n. Par exemple, si on 
consid^re 1 • algorithme dit " (M, M^) algorithm" (appele par 
la suite algorithme 3) : 

15 Initialisation : 

Ro <- 1 ; Ri <- X ; R2 <- ; D-i <- 0 ; i <- M-1 
Tant que i > 0, repeter : 

Si Di = 0, realiser le bloc d* instructions Efo : 



Ro 


<- 


(Ro)^ 


i 


<- 


i-1 


1 ET (Di-i ■■ 


= 0) , realiser le bloc rii : 


Ro 


<- 


(Ro)^ 


Ro 


<- 


Ro.Ri 


i 


<- 


i-1 


= 1 ET 


(Di_ 


1 = 1) , realiser le bloc lla 


Ro 


<- 


(Ro)^ 


Ro 


<- 


(Ro)^ 


Ro 


<- 


R0.R2 


i 


<- 


i-2 



30 Retoumer Ro» 

Algorithme dit " (M, M^) algorithm" (algorithme 3) 
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ET est la fonction ET logique. 

En remplagant les carres (Ro)^ par des 
multiplications Rq-Rq/ et en introduisant des instructions 



1 1^1 ue|jui 




19 



fictives de type i <- i-0, on peut decomposer 
1 ' algorithme 3 selon le tableau : 





k 


s 


Ho 


(Di = 0) 




yO 


: Ro 


<- 


Ro.Ro ; 


i 


<- i-1 


0 


1 


Hi 


(Di = 1) 


et (Di-i = 0) 


V- 


: Ro 


<- 


Ro.Ro ; 


i 


<- i-0 


1 


0 








72 


: Ro 


<- 


Ro.Ri i 


i 


<- i-1 


2 


1 


IIz 


(Di = 1) 


et (Di-i = 1) 


73 


: Ro 


<- 


Ro.Ro < 


r i 


<- i-0 


3 


0 • 








74 


: Ro 


<- 


Rq.Ro 


r i 


<- i-0 


4 


0 








75 


: Rq 


<- 


Ro-R2 


; i 


<- i-2 


5 


1 



tableau 3 

5 

Le tableau 3 permet de calculer assez ais^ment le 
pointeur k en fonction de s et de Di, et le pointeur s en 
fonction de k, comme pr^cedemment , Par ailleuirs, les 
blocs yO k y5 sont tous equivalents, et on peut par 
10 exemple choisir le bloc elementaire commun T^-k, s) 
"suivant : h^" 
r{k, s) : Ro Ro.Rs.ck div 2) 

i i - s. (k mod 2 + l)-- 

On en deduit final ement \m algorithme 3 protege : 

15 

Initialisation : 

Ro <- 1 7 Ri <- X ; R2 <- ; 
D-i <- 0 ; i <- M-1 ; s <- 1 
Tant que i S: 0 : 
20 r6p6ter le bloc elementaire r(k,s> : 

k <- (/s) . (k+1) + s. (Di + 2. (Di ET Di-i) ) 
s <- /((k mod 2) 0 (k div 4)) 

Ro <- Ro*Rs- (k div 2) 

i <- i - s. (k mod 2 + 1) 
25 Retoumer Rq. 

Algorithme dit " (M, M^) algorithm" 
(algorithme 3) protege 
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REVENblCATIONS 



10 



15 



20 



25 



!• Proc^d6 de calcul cryptographique caracterise en 
ce que, poxir ex^cuter \in bloc d* instructions choisi (Tlj) 
en fonction d'lme variable d' en tree (Dj) parmi N blocs 
d' instructions pr6d6finis (ITi, U^) , on execute un 

nombre pr^d^fini (Lj) de fois un bloc elementaire commun 
(r(k,s)) aux N blocs d' instructions pred^finis (Tli, 
IIn) , le nombre predefini (Lj) 6tant associe au bloc 
d' instructions choisi (Hj) . 

2. Precede selon la revendi cation 1, dans lequel le 
nombre predefini (Lj) est variable d'un bloc 
d' instructions predefini (IIi, ^, H^) a 1* autre. 

3. Procede selon I'lxne des revendi cat ions 1 a 2, 
dans lequel le bloc elementaire commun (r(k,s)) comprend 
au moins une instruction de calcul equivalente vis-a-vis 
d'une attaque a canal cache k une instruction de calcul 
de chaque bloc predefini (IIi, Tin) - 

4. Procede selon la revendication 3, dans lequel le 
bloc Elementaire commun (r(k,s)) comprend egalement une 
instruction de mise k jour d'un pointeur de boucle (k) 
indiquant un nombre d" executions d^j^ exEcutees du bloc 
elementaire commixn (r(k,s)). 

5 • ProcedE selon la revendication 3 ou la 
revendication 4, dans lequel le bloc elementaire commun 
(r{k,s)) comprend egalement une instruction de mise a 
jour d'un pointeur d'etat (s) indiquant si le nombre 
predefini (Lj) a ete atteint. 



6. ProcEdE selon la revendication 4 ou la 
revendication 5, dans lequel la valeur du pointeur de 
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15- 
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1. Proc6d6 caXcul crvptograpliiqae caractdris^ en 
ce que, pour ex^uter lin bloc d' instructions choisi (Hj) 
en fonction d'une variable d'entrie (Pi) parmi S blocs 
d'inatructions pred^finis (Hi, ~. W^-. on execute xm. 
liombre pred^fini (Lj) da fois un bloc 61^entaire coramm • 

(r(k,s)) aux Br blocs d' instructions pred^finis (111, ^, 
rfe), le noptore pr4d6fini (Lj) 6tant associ4 au bloc 
attiiis.trjacti'biis* fchbl^^ (Hi) ^ ....... • : 

2. Precede seldn la revendl cation 1, dans leguel le 
hombre. pr6d6fini (L^) est Wiable d'un bloc 
d- instructions pr^d^fibi (Hi, Hn) h. 1- autre. ^ 

3. Proc^d6 salon . f: !(un^. des. reyendications^il a 2, 
aans leguel le bloc €L&aentair$ comroun (r{k.s) ) ^oaiprend 

' au moins une,. ipstasructlon- ds, eal^. .4<juivalente . T^|.s-a-vis 
•d'une .attaqw:ev:% canal .cacb^r ^ ^une instruction .<3^f calGul 
de cbaque. bloc pr^d^f i^xi .j(ni, .-.. pij).: i ' 

4. . Proced^ selon-- ia reyendication. 3^ dans .. l^quel- le 
bloc/ ^^en^M^e . coinniun - (r(lc,s) ) coxcipyend ^galement. .une; 
instruction de mise ; ^ '.DPur d'un ppinteur de : boucle ^(k) 
indiciuant urL. noBibre d! executions d^ja ex6cut6es du bloc 
el^mentaire comwun (r{k, s)). 
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.5. proc^d^ selpn. la- rev^dication .3 •. •: ou .•• •la 
revendication 4, daas lequel le bloc ^l^entaire commun 
(r{k,s)) con«)rend egalepient une " iiastruction de mise k 
jour d'un ppinteur d'.^tat (s) insU,quant .si le^ nqijibre 
30 pr^d^fini (Lj) -a -^t^ atfeeint.. ;, j; . . • ' :>■■■.. 



6..' Proc4d6 . selpn. la ;, revendication 4 • . our; . la- 
revendication- 5, dans , leqijel la valeur du pointeur. de 
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REVENblCATIONS 



10 



15 



20 



25 



1- Proc^d^ de calcul cryptographique caract6ris6 en 
ce que^ pour ex^cuter un bloc d* instructions choisi (Ilj) 
en fonction d'une variable d^ entree (Dj) parmi N mnr^g 
d' instructions predefinis (Hi, ^, Dn) , on execute un 
noinbre pred^fini (Lj) de fois un bloc 6l6mentaire commun 
(r(k,s)) aux N blocs d' instructions predefinis (IIi, 
IIn) / le noinbre pred^fini (Lj) 6tant associe au bloc 
d' instructions choisi (Ilj). 

2. Procede selon la revendication 1, dans lequel le 
noinbre pr^defini (Lj) est variable d'lan bloc 
d- instructions predefini (IIi, Hn) k 1' autre. 

3. Procede selon I'une des revendications 1 a 2, 
dans lequel le bloc elementaire commun (FCk, s)) comprend 
au moins une instruction de calcul equivalent e vis-a-vis 
d'une attaque a canal cach6 k une instruction de calcul 
de chaque bloc pr^d^fini (Hx, Hj,) - 

4. Precede selon la revendication 3, dans lequel le 
bloc elementaire commun (r(k,s)) comprend ^galement une 
instruction de mise k jour d'un pointeur de boucle (k) 
indiquant un nombre d* executions deja executees du bloc 
elementaire commun (r(k,s)), 

5. Procede selon la revendication 3 ou la 
revendication 4, dans lequel le bloc elementaire commun 
(r(k,s)) comprend egalement une instruction de mise a 
jour d'un pointeur d'etat (s) indiquant si le nombre 
predefini (Lj) a ete atteint. 



6. Precede selon la revendication 4 ou la 
revendication 5, dans lequel la valeur du pointeur de 
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REVENDICATIONS 

1. Proced6 de calcul cryptographique caracterise en 
ce que, pour executer un bloc d' instructions choisi (Ilj) 
en fonction d'une variable d* entree (Di) panni N blocs 
d' instructions pr6d6finis (IIi, Uu) , on execute un 

5 nombre predefini (Lj) de fois.un bloc elementaire coromun 
(r(k, s)) aux N blocs d* instructions pred6finis (IIi, 
IIn), ;ie nombre predefini (Lj) 6tant associ6 au bloc 
d' instructions choisi (Ilj). 

10 2. Procede selon la revendication 1, dans lequel le 

nombre predefini (Lj) est variable d'un bloc 
d' instructions predefini (IIi, IIn) a 1' autre. 

3, Proced6 selon I'une des revendications ^^;.l 2, 
15 .dans lequel le bloc 616mentaire contmun (r(]c, s)) qpmprend 
au moins une instruction de calcul equivalente vi^s-a-vis 
d'une attaque a canal cache a une instruction dei^', calcul 
de chaque bloc predefini (IIi, Hn) • 

20 4- Precede selon la revendication 3, dans lequel le 

bloc 616mentaire coinmun ' (F (k, s) ) comprend egalement une 
instruction de mise a jour d'un pointeur de boucle (k) 
indiquant un nombre d' executions d6ja executees du bloc 
felementaire commun (r(k,s)). 

25 

5. Procede selon la revendication 3 ou la 
revendication 4, dans lequel le bloc elementaire commun 
(r(k,s)) comprend egalement une instruction de mise ^ 
jour d'un pointeur d'etat (s) indiquant si le nombre 
30 predefini (Lj) a 6te atteint. 



6, Procede selon la revendication 4 ou la 
revendication 5, dans lequel la valeur du pointeur de 
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boucle (k) et ou la valeiir du pointeur d'etat (s) sont 
fonction de la valeur de la variable d' entree (Di) et / ou 
du nombre d' instructions du bloc d* instructions (Pj) 
associe a la valeur de donnee d' entree, 

5 

7 . Pro cede selon ]. Mine des — r^e3y:endi-cations — 1 — a — &t- 

dans lequel, pour realiser success ivement plusieurs blocs 
d' instructions choisis panai les N blocs , d ' instructions 
predefines (111, IIn) en fonction d'une variable 

10 d' entree (Dj) associ^e a xm indice d' entree (i) , 

on execute un nombre total (Lr) de fois le bloc 
^l^entaire commun (r{k,s)), le nombre total (Lr) etant 
6gal h Tine somme des nombres pr^definis (Lj) associds a 
chaque bloc d" instructions choisi (rii) , 

15 

8. Procede selon la revendication 7, au cours 
duquel un m§me bloc d' instructions pent etre choisi 
plusieurs fois selon la variable d' entree associee a 
1 " indice d * entree ( i ) , 

20 

9, Procede selon I'une des revendi cat ions 7 ou 8, 
susceptible d'etre utilise dans la mise en ceuvre d'un 
calcul d* exponentiation de type Y = D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 

25 variable d' entree d' indice d' entree i, le procede 
comprenant les etapes suivantes : 
Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1 
Tant que i ^ 0 : 
30 repeter le bloc el^entaire r(k,s) : 

k <- (/s).(k+l) + s.2,(/Di) 
s <- (k mod 2) + (k div 2) 

Ro <- Ro • Rk mod 2 

i <- i - s 
35 Retourner Rq* 
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» * * * 

boucle (k) et 6u la valeui: du pointeur d'4tat (s) sont 
fonction de la valeur " de la variable d' entree (Di) et / ou . 
du noiabre d' instructions du bloc d' instructions (Pi) 
associ^ h la valeur de donate .d'entr4e. 

7. Precede seloa I'lone des revendi cat ions 1. a 6, 
A^r^p ie<iael, po^ir realiser successiveinent plusieu£s blocs 
d' iyis tractions cJioisis panai les N bXocs d' ijistructions 
pr^efinis (Hi, W en fcmction d'une variable 

d'.^tr^e (Dj) assoqiee h uii :indice a/.eatr^e ( i.b .. , ...... 

- on execute"' nombre total (Lp) "de f ois ' le • bloc 
gl&a6ntaire cominim <r(]c,s)>, le ixorribre total (1^) ^tant 
egal h uae soflime des nonibres pr^d^finis ' (Lj) asBoci^s k 
<*haqTie bloc d' instructions cboisi (Ili) . - 

8..; Proc^de selqn , la ..revendication • 7 , ^^y. cotirs 
duquel . .W meme - :bli©c jd':instructioiis -peut. etr|; cboisi 
pluaie^uxs fbis .^elon la ■ variable . d'.entpree as.^oci^e % 
I'iiidice d'entE^e (i)-. ..-i 



9. Proc^6 selon I'vme des revendication^ . .7 ou 8, 
susceptible d'etre ..ut3ilis# dans, la .mise en cewvxe vd'un. 
calcul d'es^oneatiatioa de type X =r, » ^t«nt un n<?a>bre 
• eucier '-de " M • bits, cbaflue J^it iPi> ^sorrespondant h.. .\me 
25. variable - d':eijtr<ie .d'indice d^entree i, ; le. proc4d^ 
coit^renant les .4tap6s suivantes .4 . , 
. •. ■,. Initialisation . t : ■ .. •• ■ » ' • " 

Ro fS- 1 /-.Ri: <7-X . ? i.<-: M-1 .. .• 

...Tant-.QJiiS i.i k.O.': ' . . : , 'I ; 
30 r^eter le bloc 41emeataire r(k,s) : 

. k.<i </s) ..{k+D. + .s.2.:(/pi) i 
.. s <T (k. iaod;2).+ <k-.div.2) ; 

■ . . . i <- i - s 
35 Retoumer Ro . ' - . 
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boucle (k) et ou la valeur du pointeur d'etat (s) sont 
fonction de la valeur de la vciriable d* entree (Di) et / ou 
du nombre d' ins tiruct ions du bloc d' instructions (Pj) 
associ6 a la valeur de donnee d' entree. 

3_ Brocede — s elon — 1 ^uno — des — revend i ca t ion s — 1 — — Sy 

dans lequel, poux realiser success ivement plusieurs blocs 
d* instructions choisis pairmi les N blocs d' instructions 
predefinis (Hi, TJ^) en fonction d'une variable 

d'entrde (Dj) associee a \an indice d' entree (i) , 

on execute iin nombre total (Lt) de fois le bloc 
el^entaire commun (r(k,s)), le nombre total (Lr) 6tant 
egal a xane somme des nombres pr6d6finis (Lj) associ^s a 
chaque bloc d' instructions choisi (Ili) . 

8. Proc6d6 selon la revendication 7, au cours 
duquel un mi§me bloc d' instructions peut §tre choisi 
plusieurs fois selon la variable d' entree associee a 
1 ' indice d ' entree ( i ) . 

9. Precede selon I'xrne des revendi cations 7 ou 8, 
susceptible d'etre utilise dans la mise en oeuvre d'un 
calcul d' exponentiation de type Y = D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 
variable d* entree d* indice d' entree i, le proc6d6 
comprenant les Stapes suivantes : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1 
Tant que i S 0 : 

rep^ter le bloc el^mentaire r(k,s) : 
k <- (/s).(k+l) +s.2.(/Di) 
s <- (k mod 2) + (k div 2) 

Ro <- Ro - Rk mod 2 

i <- i - s 
Retouimer Ro- 
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boucle (k) et ou la valeur du point eur d'etat (s) sont 
fonction de la valeur de la variable d' entree (Di) et / ou 
du nombre d' instructions du bloc d' instructions (Pj) 
associ6 a la valeur de donnee d' entree. 

7. Precede selon I'une des revendications 1 a 6^ 
dans lequel^ pour realiser successivement plusieurs blocs 
d' instructions choisis parmi les N blocs d' instructions 
predefinis (Oi, Hn) en fonction d'une variable 
d'entr^e (Dj) associ^e^ un indice d'entree (i) , 

on execute un nombre total (Lt) de fois le bloc 
616mentaire coinmun (r(k,s)), le nombre total (Lt) 6tant 
6gal a une somme des noirtbres pred§finis (Lj) ^ssoci^s ^ 
chaque bloc d • instructions choisi (rii) . 

8. Precede selon la revendication 1, aj^.. cours 
duquel un meme bloc d' instructions peut §tre,y?^ choisi 
•plusieurs fois selon la variable d' entree ass^ciee a 

I'indice d'entree (i) . *fc 

9. Precede selon I'une des revendications -J? ou 8, 
utilise dans la mise en oeuvre d'un calcul 
d* exponentiation de type Y = , D etant un nombre entier 
de M bits, chaque bit (Di) correspondant ^ une variable 
d'entree d' indice d'entr6e i, le procede comprenant les 
stapes suivantes : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1 
Tant que i > 0 : 

repeter le bloc elementaire r(k,s) : 
k <- (/s) . (k+1) + s.2.(/Di) 
s <- (k mod 2) + (k div 2) 

Ro <- Ro-Rk mod 2 

i <- i - s 
Retourner Rq. 



ivioamee le 



22 

10. Precede selon I'line des revendications 7 ou 8, 
susceptible d'etre utilise dans la mise en cEuvre d'un 
calcul d' exponentiation de type Y = D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 
variable d'entree d'indice d'entree i, le procede 
comprenant les ^tapp.a fini va-nt^c^ r _ 



Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1; k <- 1 
Taut que i ^ 0 : 
10 rep^ter le bloc ^lementaire commun r(k) : 

k <- (Di) ET (/k) 
Ro <- Ro-Rjc 
i <- i - (/k) 
Retoumer Rq. 

15 

11. Procede selon I'une des revendications 7 ou 8, 
susceptible d'etre utilise daris la mise en oeuvre d*un 
calcul d' exponentiation de type Y = D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 

20 variable d' entree d'indice d' entree i, le procede 
contprenamt les e tapes suivantes : 
Initialisation : 

Ro <- 1 ; Ri <- X ; i <- 0 ; k <- 1 
Tant que i < M-1 : 
25 r^peter le bloc el6rtientaire commun r(k) : 

k <- k ® Di 

Rk<- Rk-Ri 
i i+k 
Retoumer Rq. 

30 

12. Proc^d^ selon I'une des revendications 7 ou 8, 
susceptible d'etre utilise dans la mise en oeuvre d'un 
calcul d* exponentiation de type Y = X°, D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 

35 variable d' entree d'indice d' entree i, le procede 
comprenant les e tapes suivauates : 
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15 



10. Proc4<a6 selon I'xme des revendi cations 7 pu 8, 
susceptible d'etre utilise dans la mise eix oeuvre d'un 
calcul d' exponentiation de type Y = X°, d etant un norobre 
entier de M bits, chaque bit (Di) correspondant. k une 
variable d» entree d'indice d' entree i, le pxoc^dd 
comprenant les etapes suivantes : 

Initialisation : • ' 

Ro <- 1 ; Ri <- X ; i <- M-rl;."k <- 1 ^ 

Taut <3:ue i ^ 0 ; ■ 

r^p^ter le^bloc ^leraoitadre cpmmun r(k) t. . . 

Ic <- (Di) ET (/k) 

Ro <- RO'Rk 

i <- i - (/k) ■ ~ . - 

Retouxner Ro- • 



11, Proe^d# selon l^une des arevendi cations^;/.? ou 8, 
susceptible d'etre utilise' dans, la mise en <exx^^ d'uu 
• calcul d'exppnentiat ion de. tj^e Y = if , D etant nojnbre 
enti^ de M bits, ch^^e. bit. (Di), co^rrespondant h, i?ne 
20" varisgDle d'ea^ree d'indice d'enti^^e. ±, " le praced6 
Go«??ireaant l@s Stapes. su.ivantes : ;„ 
initialisation : • 

Ro 1 ; Rj. -s:.- X ; 4 <^ p ? k <- 1 
Ttoit que i ^. M-1 ; 
35 • r^6ter le bloc ^.16inentaire coimnun r (k) : 

k <- k e Di 
. Rv,<- Rk.Ri -v 
i <- i+k •; • " • 

Retoumer Ro- 
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is 



12. Precede selon I'une, des reyendica^ions 7 ou 8, 
susc^tible d'etre utilis4 dans, la mise en eeuvre d'un 
calcul d' exponentiation type Y = D 6tant un nombre 
entier de M- bits, cHasm^ bit (Di) correspondant h une 
varia^jle: d' entree d'indice d"^^r#e i,. le prqc^^. 
comprenant les etapes suivantea ; ' 
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10. Precede selon I'une des revendi cations 7 ou 8, 
susceptible d'etre utilise dans la mise en CEuvre d'un 
calcul d'e3<ponentiation de type Y = D 6tant un nombre 
entier de M bits, chaque bit (Di) correspondant a \ine 
variable d' entree d'indice d* entree i, le proced^ 
cnmprpTiant les — et apop cuivantoo — : ■ 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1; k <- 1 

Tant ciue i ^ 0 : 

r^p^ter le bloc elementaire commun r(k) : 



Retoumer Ro. 

11- Proc6d6 selon l*une des revendications 7 ou 8, 
susceptible d'etre utilise dans la mise en oeuvre d'un 
calcul d' exponentiation de type Y = X°, D etant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 
variable d' entree d'indice d' entree i, le proced6 
comprenant les etapes suivantes : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- 0 ; k <- 1 

Tant que i < M-1 : 

r6p6ter le bloc ^Idmentaire commian r(k) : 



Retoumer Rq. 

12. Procede selon I'une des revendications 7 ou 8, 
susceptible d'etre utilise dans la mise en oeuvre d'un 
calcul d' exponentiation de type Y = x^, D 6tant un nombre 
entier de M bits, chaque bit (Di) correspondant a une 
variable d' entree d'indice d' entree i, le precede 
comprenant les etapes suivantes : 



k <- (Di) ET (/k) 
Ro <- Ro-Rk 
i <- i - (/k) 



k <- k © Di 

Ric<" Rk.Ri 
i <- i+k 
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10. Proc6de selon I'une des revendications 7 ou 8, 
utilise dans la mise en ceuvre d'un calcul 
d' exponentiation de type Y = X^, D etant un nombre entier 
de M bits^ chaque bit (Di) correspondant a line variable 
5 d' entree d'indice d' entree i, le procede comprenant les 
etapes suivantes : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- M-1; k <- 1 
Tant que i > 0 : 
10 repeter le bloc elementaire coihitiun r(k) : 

k <- (Di) ET (/k) 
Ro <- Ro*Rk 
i <- i - (/k) 
Retourner Rq. 

11 • Proc6de selon I'une des revendications *fl on 8, 
utilis6 dans la mise en ceuvre d'un calcul 
• -d' exponentiation de type Y = D etant' un nombr% entier 

de M bits, chaque bit {D±) correspondant a une ;vfariable 
20 d' entree d'indice d' entree i, le procede compreijant les 
etapes suivantes : 

Initialisation : 

Ro <- 1 ; Ri <- X ; i <- 0 ; k <- 1 
Tant que i < M-1 : 
25 r6p6ter le bloc 616mentaire coiranun r(k) : 

k <- k ® Di 
Rk<- Rk.Ri 
i <- i+k 
Retourner Ro- 

30 

12. Procede selon I'une des revendications 7 ou 8, 
utilise dans la mise en ceuvre d'un calcul 
d' exponentiation de type Y = X°, D etant un nombre entier 
de M bits, chaque bit (Di) correspondant a une variable. 
35 d' entree d'indice d' entree i, le proc6d6 comprenant les 
etapes suivantes : 
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Initialisation : 

Ro <- 1 ; Ri <- X ; R2 <- ; 

D-i <- 0 ; i <- M-1 ; s <- 1 
Tant que i > 0 : 

5 repeter le bloc elementaire coiratiian r(k,s) : 

k <- (/s) , (k+1) + s. (Di + ETDx^i)) — 

s <- /((k mod 2) 0 (k div 4)) 

Ro <~ Ro^Rs. (k div 2) 

i <- i - s. (k mod 2+1) 
10 Retoximer Ro- 

% 

13, Proced6 d'obtention d*un bloc elementaire coiranun 
{r{k,s)) h N blocs d • instructions (IIi, ITn) prdd6finis, 

15 le proced^ etant caract^rise en ce qri'il comprend les 
etapes suivantes : 

El : decomposition de chaque bloc d' instructions 
predefini {Tlx, —/ Hn) en une suite de blocs elementaires 
iy) equivalents vis-a-vis d'une attaque a canal cache, et 

20 classement de l*enseinble des blocs elementaires, 

E2 : recherche d'un bloc elementaire commun 
(r(k,s}) equivalents k tous les blocs elementaires (y) de 
tous les blocs d' instructions predefines, le bloc 
elementaire coramim comprenant au moins un bloc 

25 el^entaire prec^demment obtenu et line instruction de 
mise a jour d'lxn pointeur de boucle (k) tel qu.e une 
execution du bloc Elementaire commun associ^e cl la valeur 
du pointeur de boucle (k) et ime execution du bloc 
el^entaire de rang Egal k la valeur du pointeur de 

30 boucle (k) soient identiques. 

14. Precede selon la revendication 13, caracterise 
en ce que au cours de I'etape El, on ajoute au moins une 
instruction fictive a au moins un bloc d' instructions 

35 predefini . 
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Initialisation : 

Ro <- 1 ; Ri <- X ; R2 <- ; 
d1i <- 0 ; i <- M-1 ; a <- 1 

Taut que i ^ 0 : 

r6p6ter le bloc? el^entaire coronam r(k, s) t 
k <- (/s).Ck+l) + s.{Di + 2.{Di BT Di-i)) 
B <- /{(k ittod 2) © (k div 4)) 

Ro <- Ro.Ra.Oe aiv a) 

i <- i - s- (k mod 2 + 1) . 
Retourner Ro. 



13. Proc4d€ d'obtention d'lin bloc el^entaire ccatimun 
(r{k,s)) ^ N blocs d' instructions (ITi, ~, Hn) pr^definiSy 
pr6c^6 susceptible d'etre utilise pour la mise ^ ceuvre 
d'un precede de calcul cryptograpliiaue selbn ^.vaie des 
revendicatious 1 a 12., le proc6d^ ^taut caract6r|s^ eu ce" 
du'il corts>rend les Stapes suivanfces ? 

Bl : decon5,osition de chacpie bide d' instructions 
pr^d^fini' (111,. :!&)• ea una; sijiite.de blocs ^l^^ntaires 
(Y) equivalents yis-^-viS; d'vcne at ta<iue >. canal qach^. et 
classement de 1- ensemble des- J>locs 61^entaires, 

E2 J recherdae; .d'un bloc elementaire coininun 
(r<k,s)) atjuivalents ^ toxis les • blocs 61^entaires iy) de 
tous les... bl^cs d' instructions pred^finis, le bloc 
61^entaire ' cowmun coiociprenant - au moins xm. bloc 
dl^entaire pr^cederament obtenu et une instruction de 
mise . jour^ . d'un pbiateur- =. de boucle (k). teli ffue; une 
execution dia. bloc ^lemeataire commun asaociee ^ .la ,v^l#ur 
du pointeur de boucle (k),: .ec . -une-. execution du , bloc 
• ^iemeataire. de rang egal k. la valeuf du . pointeur de 
boucle (k). soient identigpjies ► " -v ' 

14. Proc^d^ selon la revendiqation 13, caract6ris6 
en ces que au cburs de iv^tape BOi,. pn ajoute; au moins-'une 
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Initialisation : 

Ro <- 1 ; Ri <- X ; R2 <- ; 
D-i <- 0 ; i <- M-1 ; s <- 1 
Tant que i > 0 : 
5 repeter le bloc elementaire commun r(k,s) : 

k <- (tA g) . (k + 1) — \ s. (D^ 1- 2> (Df - ET D±^x) ) 

s <- /((k mod 2) © (k div 4)) 

Ro <- Ro»Rs. (k div 2) 

i <- i - s. (k mod 2 + 1) 
10 Retoumer Rq* 

13, Proced6 d'obtention d'un bloc 6l6mentaire commun 
(r(k,s)) ^ N blocs d' instructions (IIi, IIn) pr6d6finis, 

15 proc6d6 susceptible d'§tre utilise pour la mise en oeuvre 
d'un precede de calcul cryptograpbique selon I'une des 
revendications 1 a 12, le precede 6tant caract6ris6 en ce 
qu'il comprend les etapes suivantes : 

El : decomposition de chac[ue bloc d' instructions 

20 predefini (IIi, IIn) en ime suite de blocs elementaires 

(y) equivalents vis-a-vis d'une attaque a canal cache, et 
classement de 1' ensemble des blocs el^naentaires , 

E2 : recherche d'un bloc Elementaire commun 
(r(k,s)) Equivalents ^ tous les blocs elEmentaires (y) de 

25 tous les blocs d' instructions prEdefinis, le bloc 
ElEmentaire commun comprenant au moins un bloc 
ElEmentaire precEdemment obtenu et une instruction de 
mise k jour d'un pointeur de boucle (k) tel que \ine 
execution du bloc elEmentaire commtin assoclEe a la valeur 

30 du point exrr de boucle (k) et nne execution du bloc 
elementaire de rang egal a la valeur du pointeur de 
boucle (k) soient identiques. 



14. ProcEde selon la revendication 13, caracterise 
35 en ce q[ue au cours de l^Etape El, on ajoute au moins une 
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Initialisation : 

Ro <- 1 ; Ri <- X ; R2 <- ; 

D-i <- 0 ; i <- M-1 ; s <- 1 
Tant que i > 0 : 

r6p6ter le bloc ^lementaire coininun r(k,s) : 

k <- (/s).(k+l) + s.(Di + 2. (Di ET Di-i)> 

s <- /((k mod 2) ® (k div 4)) 

Ro <- Ro.Rs. (k dlv 2) 

i <- i - s. (k mod 2+1) 
Retourner Ro. 

13. Proced^ d'obtention d'un bloc 616mentaire coramun 
(r(k,s)) a N blocs d' instructions (Hi, Us) pred6finis, 
precede susceptible d'etre utilise pour la mise ep. oeuvre 
d'un proced6, de calcul cryptographique selon 1 'jpne des 
revendications 1 ^ 12, le precede etant caracterise en ce 
qu'il comprend les etapes suivantes : .V: 

El : decomposition de chaque bloc d' inst.^^uctions 
pred6fini (IIi, IIh) en une suite de blocs eleragntaires 

(y) equivalents vis-^-vis d'une attaque ^ canal cs^ch6, et 
classement de 1' ensemble des blocs 616mentaires, 4.. 

E2 : recherche d ' un bloc 616mentaire commun 
(r(k,s)) equivalents k tous les blocs 61ementaires (y) de 
tous les blocs d' instructions pr6d6finis, le bloc 
§16mentaire commun comprenant au moins un bloc 
eiementaire pr6c6demment obtenu et une instruction de 
mise k jour d'un pointeur de boucle (k) tel que une 
execution du bloc elementaire commun associee ^ la valeur 
du pointeur de boucle (k) et une execution du bloc 
elementaire de rang 6gal ^ la valeur du pointeur de 
boucle (k) soient identiques. 

14. Proc6d6 selon la revendication 13, caracterise 
en ce que au cours de I'etape El, on ajoute au moins une 
instruction fictive k au moins un bloc d' instructions 
pr6d6fini. 
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instructioa fictive k au moins bloc d'insUfuctions 

pred^fini. . 




instruction fictive a au moins ton bloc d* instructions 
predef ini , 
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Begin ^ 




Process 11^ 

— r~ 

r-- * •• 

', Process 11^ 1 

L_:2*ie - • 



Process r^fictif 



Process T\^iatif 




Fig. 1 



Non 



Begin ^ 



bloc 
elementaire 
confMT\un r 




Fig. 2 



Begin ^ 



k <- 


(/s).(k+l) + 


s.f(Di) 


s <- 


(k mod 2) + 


(k div 2) 




'^0-^(kmod2) 




1 -c- 


i - S 





I 



( End ) 
Fig. 3 
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k <-(Di)ET(/k) 
1 <-i-(/k) 



Fig. 4 
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